安全研究人员公开了优博通无线网络设备中的一个可被利用的缺陷。

SEC Consult漏洞实验室位于奥地利的研究人员在去年11月份发现了这个缺陷并通过HackerOne漏洞奖励计划告知位于美国加州的优博通公司。优博通最开始否认这是个新漏洞，随后予以接受，然后延迟发布补丁。反复告警无效后，SEC将其公布。

如果攻击者能诱骗使用优博通网关或路由器的用户点击一个恶意连接，或者将URL嵌入用户所访问的网页中，那么攻击者就可以将命令注入到易受攻击的设备中。这个网络设备使用网络接口进行管理而且并没有任何CSRF防御措施，也就是说攻击者能够以登录用户的身份实施恶意行为。

黑客能够利用这个漏洞打开一个逆向shell连接到一个优博通路由器中并获取根权限。没错，这个内置web服务器以根权限运行。SEC表示一旦进入内部，攻击者就能够控制整个网络，原因是软件里面包含着一个过时的PHP版本。SEC公告指出，“pingtest_action.cgi中出现了命令注入漏洞，这个脚本易受攻击是因为它可以被注入一个变量值。软件中使用的是过时的PHP版本（1997年发布的PHP/FI 2.0.1）”。

SEC在四个优博通设备中测试了攻击的可行性，并认为其它38个机型也容易受到类似攻击。所有受影响的设备都列在SEC发布的公告中。由于这个不安全的固件尚未被发布补丁，因此SEC不会公开PoC利用代码。

优博通尚未做出任何回应。

这也并非优博通用户首次遭受未被修复的安全问题的困扰。2015年其产品中的漏洞并未被公司及时修复，最后是由第三方修复的，而PoC利用代码当时已在疯传。

而安全性也似乎并非优博通的强项。2015年公司因掉入发票欺诈事件而向位于亚洲的银行汇入4670万美元且无法被追回。优博通的首席会计官不久之后因此而离职。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。